KVKK Uyumlu Veri Mimarisi: Kurumsal Yazılım için Pratik Rehber
KVKK uyumluluğu çoğu kurumda 'hukuk ekibinin işi' olarak görülüyor, oysa gerçek uyumluluk yazılım mimarisinde başlar. Bu rehberde, kurumsal bir ürün geliştirirken KVKK'yı baştan doğru kurmanız için pratik bir çerçeve sunuyoruz.
Veri Envanteri: Ne Topluyoruz, Nerede Saklıyoruz?
İlk adım, sistem içinde akan tüm kişisel verinin haritasını çıkarmak. Hangi API endpoint'i hangi veriyi alıyor, nerede işliyor, nereye yazıyor? Data flow diagram ile görselleştirin. VERBİS kaydı için bu haritanın belgesel hali zaten gerekiyor.
Kategorilendirme: kimlik bilgisi, iletişim, finansal, sağlık, biyometrik, çocuk verisi. Her kategori farklı işleme ve saklama koşullarına tabi; mimariye baştan yansıtılmalı.
Şifreleme: Aktarımda ve Saklamada
Aktarım (in-transit): TLS 1.3 minimum, mTLS mikroservis trafiği için. Saklama (at-rest): AES-256-GCM ile field-level veya column-level şifreleme. Anahtar yönetimi KMS (AWS KMS, Azure Key Vault, HashiCorp Vault) ile merkezi.
Hassas alanlar (TC kimlik, banka hesabı, sağlık verisi) için application-level şifreleme + tokenization. Veritabanı yöneticisi bile ham veriye erişmemeli. Envelope encryption ile anahtarların anahtar ile şifrelenmesi denetim izi bırakır.
Erişim Denetimi: RBAC ve Audit Log
Rol tabanlı erişim kontrolü (RBAC) minimum; gelişmiş senaryolarda ABAC (attribute-based) ile 'bu müşterinin verisini yalnızca o müşterinin atanmış temsilcisi görebilir' türü kurallar uygulanabilir. Her read/write operasyonu audit log'a düşmeli: kim, ne zaman, hangi kayıt.
Audit log kendisi de değiştirilemez (append-only) olmalı; WORM storage veya Merkle tree yapısı önerilir. İç denetimde bu log, hem yasal sorumluluk hem de olay müdahale için kritik kanıt.
Saklama Süreleri ve Otomatik Silme
Her veri kategorisinin yasal ve iş saklama süresi farklıdır: ticari defterler 10 yıl, pazarlama izni 2 yıl, çerez kayıtları 6 ay. Bu sürelerin otomatik enforce edilmesi için scheduled job'lar; süre dolduğunda anonim hale getirme veya silme.
Silme 'gerçek silme' olmalı (hard delete), yedekleme politikası da bu zorunluluğa uygun. Backup retention'ını veri kategorisine göre ayrı yöneten sistemler uyumluluğu kolaylaştırır.
Veri Sahibi Başvuru Süreci
KVKK madde 11 kapsamında kişiler erişim, düzeltme, silme ve aktarım talep edebilir. Bu başvurular 30 gün içinde cevaplanmalı; ürün içinde self-service bir paneli düşünün (export JSON/CSV, silme talebi).
VefaSec KVKK danışmanlığı paketi: VERBİS kaydı, aydınlatma metni, açık rıza mekanizması, DPIA (Data Protection Impact Assessment) ve teknik kontrol eşleştirme. Mühendislik ve hukuk ekipleri aynı masada çalışarak uyum sağlar.
Projeniz veya denetim ihtiyacınız için VefaSec'le konuşun.
Diyarbakır merkezli ekibimiz; kurumsal müşterilere uçtan uca yazılım geliştirme, sızma testi ve siber güvenlik danışmanlığı hizmetleri sunar. Keşif görüşmesi ücretsiz, bağlayıcı değil.